Die Auswirkungen der Datenschutzgrundverordnung – DSGVO auf Online-Marketing

Die Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor erhebliche Herausforderungen. Bis Mai 2018 müssen Unternehmen alle Strukturen und Prozesse zur Implementierung des nun EU-weit einheitlich geltenden und harmonisierten Datenschutzes umgesetzt haben. Im Bereich des Online-Marketings und insbesondere bei der Ansprache von potentiellen Neukunden sowie Bestandskunden werden sich datenschutztechnische Änderungen ergeben. Trotz diverser Änderungen bleiben die deutschen Grundprinzipien wie „Datenvermeidung und Datensparsamkeit“, „Zweckbindung“, „Verbot mit Erlaubnisvorbehalts“ und „Transparenz“ bestehen. Hier die wichtigsten Neuerungen, auf die sich die Online-Marketing-Branche einstellen muss:

Bußgelder

Eines vorab: Jegliche Arten von Verstößen gegen die neuen Regelungen werden teurer. Zukünftig können Bußgelder bis zu 10 Mio. EUR bzw. 20 Mio. EUR verhängt werden. Bei manchen Verstößen von Unternehmen können bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Bemessungsgrundlage ist der Umsatz des Gesamtkonzerns. So soll verhindert werden, dass für bestimmte Aufgabenbereiche kleiner Gesellschaften mit geringeren Umsätzen ausgegründet werden, um etwaige Bußgelder gering zu halten. Es lohnt sich daher, sich auf die neuen Regelungen einzustellen und diesen die erforderliche Beachtung zu schenken.

Folgenabschätzung

Insbesondere dann, wenn eine
systematische und umfassende Bewertung persönlicher Aspekte von Personen erfolgt, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet, ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Zuständig hierfür ist der Verantwortliche, also die Unternehmensführung – und nicht etwa der betriebliche Datenschutzbeauftragte (Art. 35 DSGVO). Diese Folgenabschätzung muss Folgendes umfassen:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird.

Wichtig: Ergibt die Bewertung, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, ist die Aufsichtsbehörde VOR der Verarbeitung zu konsultieren.

Informationspflichten

Es gibt eine Fülle von neuen Informationspflichten, die z. B. über die „Datenschutzinformation“ von Webseiten umgesetzt werden können. Hierzu zählen u.a.

  • Angabe zur Rechtsgrundlage der Datenverarbeitung.
  • Ist eine Übermittlung personenbezogener Daten an Dritte beabsichtigt, sind die konkreten Empfänger anzugeben.
  • Werden Daten beim Betroffenen selbst erhoben, ist er darüber zu informieren, ob er gesetzlich oder vertraglich zur Bereitstellung personenbezogener Daten verpflichtet ist oder ob die Bereitstellung der personenbezogenen Daten für einen Vertragsschluss erforderlich ist. Außerdem ist er über die möglichen Folgen einer verweigerten Bereitstellung zu informieren.
  • Sollen Daten in Drittstaaten, also einen Staat außerhalb der Europäischen Union transferiert werden, ist darüber zu informieren und die gesetzliche Grundlage ist anzugeben. Erfolgt der Datentransfer etwa auf der Grundlage von Standardvertragsklauseln oder Binding Corporate Rules (BCR), sind die Klauseln mit Angabe der Quellen in die Datenschutzinformation aufzunehmen.
  • Werden Daten nicht beim Betroffenen direkt erhoben, ist darüber zu informieren, woher die Daten kommen, d.h. es sind die Quellen offen zu legen.

Meldepflichten

Nicht nur dann, wenn es tatsächlich zu einer Datenpanne gekommen ist und Dritte unbefugt Zugriff auf Daten erlangen, sondern bereits in jedem Fall der rechtswidrigen Datenverarbeitung ist der Vorgang zukünftig der Aufsichtsbehörde zu melden. Die Pflicht gilt auch bei jedem rechtswidrigen oder nur versehentlichen Datenverlust. Innerhalb von 72 Stunden ist der Vorfall zu melden.

Datentransfer in Drittländer

Zukünftig sind Datentransfer Drittstaaten, wie etwa die USA, auf verschiedenen rechtlichen Grundlagen erlaubt:

  • aufgrund von Standardvertragsklauseln, die die EU-Kommission genehmigt hat
  • aufgrund von „Binding Corporate Rules“, die die zuständigen Aufsichtsbehörden genehmigt hat, wenn der Datentransfer innerhalb eines Konzerns oder einer Unternehmensgruppe erfolgt
  • wenn sich das in einem Drittstaat ansässige Unternehmen europäischen Verhaltensregeln unterworfen hat oder über eine von der EU genehmigte Zertifizierung verfügt, „Privacy Shield“
  • Einzelgenehmigung der zuständigen Aufsichtsbehörde
  • Einwilligung der Betroffenen
  • Gesetzliche Ausnahmetatbestände des Art. 49 DSGVO wie z. B. Vertragsverhandlungen, öffentliches Interesse, zwingende berechtigte Interessen des Verantwortlichen uvm.

Einwilligung

Die Absicht eines Unternehmens, die Daten von potentiellen oder Bestandskunden zu sammeln und zu nutzen, muss klar signalisiert werden. Dabei obliegt es den Unternehmen, den Nachweis zu erbringen, dass Verbraucher ihre Einwilligung gegeben haben. Betroffen sind alle Informationen wie E-Mail-Adressen, Namen, Adressen usw. Zusätzlich hat sich der Umfang des Anwendungsbereiches der „personenbezogenen Daten“ stark erweitert. Zukünftig werden auch Cookie-IDs, User-ID´s, IP-Adressen, Mac-Adressen unzweifelhaft als personenbezogene Daten zu betrachten sein, so dass deren Nutzung jeweils der Einwilligung der Betroffenen bedürfen.

Es gibt aber auch gute Nachrichten: Aufgrund der neu geschaffenen „Online-Marketing-Klausel“ in Art. 6 Abs. 1 f DSGVO wird in vielen Fällen eine solche Einwilligung vermutlich gar nicht erforderlich sein. Danach gibt es unterschiedliche Tatbestände, die eine einwilligungslose Verarbeitung personenbezogener Daten gestatten. Personenbezogene Daten können nach dieser Regelung bei einem „legitimen Interesse“ des Datenverarbeiters genutzt werden, solange diese legitimen Interessen nicht offensichtlich hinter den Interessen des Betroffenen zurückzustehen haben. Dass es sich bei den Werbeinteressen der Onlinebranche um „legitime Interessen“ im Sinne der DSGVO handelt, ergibt sich aus dem Erwägungsgrund 38 zu dieser Vorschrift. Dieser stellt ausdrücklich klar, dass die Durchführung von Dialogmarketing als berechtigtes Interesse betrachtet werden kann. In diesem Bereich wird man also abwarten müssen, welche werbemaßnahmen schließlich als „legitimes Interesse“ anzusehen sein werden und welche nicht.

Das Recht auf Vergessen

Neben dem Opt-Out-Prinzip, bei dem die betroffenen Personen jederzeit und ohne besondere Begründung der weiteren Verwendung ihrer Daten widersprechen können, haben Internetnutzer zukünftig auch ein Recht auf Löschung ihrer Daten. Damit soll nicht nur das Persönlichkeitsrecht Betroffener besser geschützt werden, sondern auch der Adresshandel weiter eingedämmt werden.

Fazit

Die wesentlichen Geschäftsmodelle der Onlinebranche dürften auch zukünftig nicht ernsthaft gefährdet sein. Aber der Begriff der personenbezogenen Daten wurde erweitert, so dass es zukünftig nicht mehr möglich sein wird, Cookie-IDs, IP-Adressen und andere Online Identifier als anonym einzuordnen. Insbesondere den umfänglicheren Informationspflichten und der Einholung erforderlicher Einwilligungen sollte Beachtung geschenkt werden. Angesichts der 72-stündigen Meldepflicht bei Datenschutzverstößen und den stark erhöhten Bußgeldern sind bereits jetzt alle Vorbereitungen zu treffen, damit ab Mai 2018 alle Prozesse im Unternehmen reibungslos weiterlaufen.

 

  • Das könnte Sie ebenfalls interessieren:

Titel_Checkliste_DSGVO_240.pngÜbersicht und Checkliste zur neuen Datenschutzgrundverordnung (DSGVO)

Was ist neu und was ist Ihr To Do bis 25.05.2018?

September 2016, 6 Seiten, pdf-Format, 102 KB

Jetzt hier downloaden!

 

 

 

 

Merken

geschrieben von: Florian Decker

Florian Decker

Fragen zum Thema? Mailen Sie einfach an decker@res-media.net.

Florian Decker
Fachanwalt für Informationstechnologierecht (IT-Recht)

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

 

Related Posts

Comments are closed.